보안의 기본 개념 바뀌면서 다양화된 보안 업무 프로세스
자동화와 동의어로 사용될 때 많으나, 둘은 ‘균형’의 관계
[보안뉴스 문가용 기자] 원채 새로운 기술과 관련된 용어는 온갖 곡해와 오해를 끌고 다닌다. 보안 오케스트레이션(security orchestration) 역시 그 중 하나다. 여기에 자동화까지 개입된 오케스트레이션이라면 혼란은 가중된다. 그러면서 두 개념은 사람들의 대화 속에서 동의어도 됐다가 비슷한 용어가 됐다가 서로 다른 개념이 되었다가를 반복한다.
[이미지 = iclickart]
오케스트레이션이 뭐기에 이렇게 업계 전체가 난리일까? 여기엔 몇 가지 이유가 있다. 보안 업계 자체가 한층 성숙하여 ‘예방적 접근’에서 벗어나게 되었다. ‘보안은 곧 한 번의 공격도 허용하지 않는 것’이라는 개념이 비현실적이라는 걸 누구나 받아들이게 된 것이다. 현재 우리가 보유하고 있는 공격 표면은 지나치게 크다. 게다가 여기저기서 빠른 변화와 진화가 일어나 방어는 더욱 복잡해지고 있다. 여기에 완벽과는 거리가 먼 인간의 습성이 더해져 우린 사실 ‘방어한다’고 말하기 민망할 정도로 공격에 시달리고 있다.
그래서 최근의 보안은 ‘빠른 탐지와 빠른 대응’에 맞춰져 이뤄지고 있다. 이는 ‘공격은 이미 당했다’는 전제 하에 이를 최대한 빠른 시간 안에 발견해내고 해결하는 것을 기본 골자로 한다는 것이다. 그렇다고 예방의 접근법이 완전히 죽은 것은 아니다. 다만 ‘탐지와 대응’의 일부로 편입되어 ‘시간 단축’의 수단으로 활용될 뿐이다. 혹은 탐지에 집중할 수 있도록 예방할 수 있는 것은 최대한 예방하는 식의 ‘보조적인 개념’으로 살아남아 있다.
아무튼, 탐지와 대응의 개념으로 바뀌어감에 따라 여러 가지 업무 프로세스가 복잡하게 파생됐는데, 여기에는 다음과 같은 것들이 있다.
1) 사건 분류와 우선순위 정하기 : 터질 수 있는 보안 사건을 상정하고, 각 사건의 피해 정도를 예상해 우선순위를 매기는 과정이 필요하다. 현대의 탐지 기술에는 ‘오탐’이 늘 수반되기 때문에 모든 걸 살펴볼 수는 없다. 각 조직에 맞는 공격 시나리오를 짜놓고, 그 큰 맥락에 맞춰 가장 위험할 수 있는 것부터 검토해야 한다. 이 과정 없이는 마치 알람시계가 24시간 울리고 있는 것과 같은 경험을 할 수 있을 것이다.
2) 사건의 맥락 파악과 상호 연결 : 위의 과정을 통해 실제 위협이 발견되었다면, 다른 프로세스에서도 비슷한 경보를 찾아 상호 연결시킴으로서 보다 큰 그림을 이해하고 생각지 못한 공격 경로를 차단할 수 있게 된다. 위협은 데이터를 직접 노리는 것일 수도 있고, 추가 공격을 실시하기 위한 발판 마련을 위한 것일 수도 있으니, 사건 맥락 파악이나 상호 연결을 통해 이를 정확히 파악하는 것도 중요하다.
3) 대응의 순차적인 과정 : 사건 대응이라는 게 말처럼 한 번에 뭔가 척척 되는 게 아니다. 다양한 과정과 업무들로 구성된 것이 사건 대응이다. 즉, 이 여러 요소들이 부드럽게 이어져야 비로소 사건에 대응할 수 있게 된다는 것이다.
4) 격리 : 탐지와 대응의 개념에서 가장 중요한 건 속도다. 하지만 랜섬웨어와 같은 경우, 속도를 아무리 빨리 올린다 한들 현실적으로 일단 공격이 시작되면 막을 수 없는 것도 있다. 대신 데이터 유출형 공격이라고 한다면, 시간 단축으로 큰 피해를 막는 것이 가능하다. 공격이 이뤄지고 있는 부분이나 데이터, 혹은 공격 표면을 재빨리 격리시켜 네트워크의 다른 부분에 최소한의 영향만 가도록 해야 한다.
위 과정들은 하나하나가 높은 난이도의 작업이며, 빠른 처리를 요구한다. 이것이 보안 담당자들이 매일매일 처한 현실이라고 볼 수 있다. 그리고 더 어려운 건, 이러한 과정들을 부드럽게 엮어내야 한다는 것이다. 이걸 돕는 기술이 오케스트레이션이고, 지금 정보보안의 추세를 생각해보면 오케스트레이션이 각광을 받을 수밖에 없다는 걸 이해할 수 있을 것이다.
그렇다면 복잡한 일을 편리하게 처리해준다는 의미에서 ‘자동화’와 헷갈릴 수밖에 없다는 것 또한 이해할 수 있다. 하지만 자동화와 오케스트레이션은 복잡한 일처리를 정확하고 깔끔하게 만들어준다는 ‘의의’ 외에는 전혀 같은 기술이 아니다. 둘의 관계는 ‘오케스트레이션을 위해 자동화를 어느 정도나 도입시킬 것인가?’라는 ‘균형성’에 놓여 있다고 보는 게 맞다. 자동화가 많은 문제를 해결해주고 오케스트레이션을 보완해주는 건 맞지만, 자동화는 자동화대로 새로운 문제를 야기한다는 걸 이해해야 한다. 사실 이 균형이란 건, 시행착오를 통해 맞춰가는 수밖에 없다. 하지만 다음 단계별로 자동화 도입을 고려해볼 수 있다.
1) 플레이북 단계 : 특정 사건이 터졌을 때를 가정하고, 이에 대한 행동 수칙이나 업무 처리 과정을 구성하는 단계다. 여기에는 위협 종류의 파악 및 우선순위 정립 등도 포함되며, 그에 따른 수사, 격리, 통보, 분석 절차도 들어간다. 보통은 수동으로 진행되는 단계로, 엑셀 등의 스프레디시트 류의 애플리케이션들이 사용된다. 사건이 거의 일어나지 않는 조직이라면 이 방법이 나쁘지 않지만, 하루에도 백~천 단위의 공격을 겪는 대형 조직이라면 자동화를 고려해봐야 한다.
2) 장비와 아키텍처 : 네트워크 상에서 많은 일이 일어나는 조직이라면, 그래서 사건 볼륨 자체가 남다른 조직이라면, 다양한 정보 및 사건 관리 툴을 도입하는 것이 현대 사이버 보안 상황에서는 맞는 판단이다. 예를 들어 SIEM 툴의 경우는 워크플로우와 자동화, 오케스트레이션을 그다지 무겁지 않게 제공한다. 하지만 다양한 상황에 유연하게 대처할 수 있는 능력 자체는 떨어진다. 하지만 꼼꼼히 한답시고 전 과정을 수동으로 처리하는 것보다 훨씬 현명한 선택이다.
3) 자동화 : 1)번과 2)번에 대한 자동화까지 도입했다면, 드디어 오케스트레이션에도 본격적인 자동화 접목을 고민해야 할 때다. 어떤 작업이 자동화 처리로 해결될 수 있는지 잘 선택하는 게 관건인데, 예를 들어 사건 발생 시 관계자들에게 통보하는 일이나 특정 데이터에 추가 맥락 및 상황 정보를 덧입히는 작업, 사건 대응 시 해야 할 일을 여러 부서에 지정하는 일 등은 자동화로 해결이 가능하다. 그러나 사건의 범위나 규모를 파악해 알맞은 부분을 격리시키는 일은 의외로 자동화로 해결하기가 어렵다.
결국 정리하자면 이렇게 요약할 수 있다. “행위(action)는 자동화 가능, 결정(decision)은 자동화 불가능”
글 : 다리오 포르테(Dario Forte), DFLabs
[국제부 문가용 기자(globoan@boannews.com)]
자동화와 동의어로 사용될 때 많으나, 둘은 ‘균형’의 관계
[보안뉴스 문가용 기자] 원채 새로운 기술과 관련된 용어는 온갖 곡해와 오해를 끌고 다닌다. 보안 오케스트레이션(security orchestration) 역시 그 중 하나다. 여기에 자동화까지 개입된 오케스트레이션이라면 혼란은 가중된다. 그러면서 두 개념은 사람들의 대화 속에서 동의어도 됐다가 비슷한 용어가 됐다가 서로 다른 개념이 되었다가를 반복한다.
[이미지 = iclickart]
오케스트레이션이 뭐기에 이렇게 업계 전체가 난리일까? 여기엔 몇 가지 이유가 있다. 보안 업계 자체가 한층 성숙하여 ‘예방적 접근’에서 벗어나게 되었다. ‘보안은 곧 한 번의 공격도 허용하지 않는 것’이라는 개념이 비현실적이라는 걸 누구나 받아들이게 된 것이다. 현재 우리가 보유하고 있는 공격 표면은 지나치게 크다. 게다가 여기저기서 빠른 변화와 진화가 일어나 방어는 더욱 복잡해지고 있다. 여기에 완벽과는 거리가 먼 인간의 습성이 더해져 우린 사실 ‘방어한다’고 말하기 민망할 정도로 공격에 시달리고 있다.
그래서 최근의 보안은 ‘빠른 탐지와 빠른 대응’에 맞춰져 이뤄지고 있다. 이는 ‘공격은 이미 당했다’는 전제 하에 이를 최대한 빠른 시간 안에 발견해내고 해결하는 것을 기본 골자로 한다는 것이다. 그렇다고 예방의 접근법이 완전히 죽은 것은 아니다. 다만 ‘탐지와 대응’의 일부로 편입되어 ‘시간 단축’의 수단으로 활용될 뿐이다. 혹은 탐지에 집중할 수 있도록 예방할 수 있는 것은 최대한 예방하는 식의 ‘보조적인 개념’으로 살아남아 있다.
아무튼, 탐지와 대응의 개념으로 바뀌어감에 따라 여러 가지 업무 프로세스가 복잡하게 파생됐는데, 여기에는 다음과 같은 것들이 있다.
1) 사건 분류와 우선순위 정하기 : 터질 수 있는 보안 사건을 상정하고, 각 사건의 피해 정도를 예상해 우선순위를 매기는 과정이 필요하다. 현대의 탐지 기술에는 ‘오탐’이 늘 수반되기 때문에 모든 걸 살펴볼 수는 없다. 각 조직에 맞는 공격 시나리오를 짜놓고, 그 큰 맥락에 맞춰 가장 위험할 수 있는 것부터 검토해야 한다. 이 과정 없이는 마치 알람시계가 24시간 울리고 있는 것과 같은 경험을 할 수 있을 것이다.
2) 사건의 맥락 파악과 상호 연결 : 위의 과정을 통해 실제 위협이 발견되었다면, 다른 프로세스에서도 비슷한 경보를 찾아 상호 연결시킴으로서 보다 큰 그림을 이해하고 생각지 못한 공격 경로를 차단할 수 있게 된다. 위협은 데이터를 직접 노리는 것일 수도 있고, 추가 공격을 실시하기 위한 발판 마련을 위한 것일 수도 있으니, 사건 맥락 파악이나 상호 연결을 통해 이를 정확히 파악하는 것도 중요하다.
3) 대응의 순차적인 과정 : 사건 대응이라는 게 말처럼 한 번에 뭔가 척척 되는 게 아니다. 다양한 과정과 업무들로 구성된 것이 사건 대응이다. 즉, 이 여러 요소들이 부드럽게 이어져야 비로소 사건에 대응할 수 있게 된다는 것이다.
4) 격리 : 탐지와 대응의 개념에서 가장 중요한 건 속도다. 하지만 랜섬웨어와 같은 경우, 속도를 아무리 빨리 올린다 한들 현실적으로 일단 공격이 시작되면 막을 수 없는 것도 있다. 대신 데이터 유출형 공격이라고 한다면, 시간 단축으로 큰 피해를 막는 것이 가능하다. 공격이 이뤄지고 있는 부분이나 데이터, 혹은 공격 표면을 재빨리 격리시켜 네트워크의 다른 부분에 최소한의 영향만 가도록 해야 한다.
위 과정들은 하나하나가 높은 난이도의 작업이며, 빠른 처리를 요구한다. 이것이 보안 담당자들이 매일매일 처한 현실이라고 볼 수 있다. 그리고 더 어려운 건, 이러한 과정들을 부드럽게 엮어내야 한다는 것이다. 이걸 돕는 기술이 오케스트레이션이고, 지금 정보보안의 추세를 생각해보면 오케스트레이션이 각광을 받을 수밖에 없다는 걸 이해할 수 있을 것이다.
그렇다면 복잡한 일을 편리하게 처리해준다는 의미에서 ‘자동화’와 헷갈릴 수밖에 없다는 것 또한 이해할 수 있다. 하지만 자동화와 오케스트레이션은 복잡한 일처리를 정확하고 깔끔하게 만들어준다는 ‘의의’ 외에는 전혀 같은 기술이 아니다. 둘의 관계는 ‘오케스트레이션을 위해 자동화를 어느 정도나 도입시킬 것인가?’라는 ‘균형성’에 놓여 있다고 보는 게 맞다. 자동화가 많은 문제를 해결해주고 오케스트레이션을 보완해주는 건 맞지만, 자동화는 자동화대로 새로운 문제를 야기한다는 걸 이해해야 한다. 사실 이 균형이란 건, 시행착오를 통해 맞춰가는 수밖에 없다. 하지만 다음 단계별로 자동화 도입을 고려해볼 수 있다.
1) 플레이북 단계 : 특정 사건이 터졌을 때를 가정하고, 이에 대한 행동 수칙이나 업무 처리 과정을 구성하는 단계다. 여기에는 위협 종류의 파악 및 우선순위 정립 등도 포함되며, 그에 따른 수사, 격리, 통보, 분석 절차도 들어간다. 보통은 수동으로 진행되는 단계로, 엑셀 등의 스프레디시트 류의 애플리케이션들이 사용된다. 사건이 거의 일어나지 않는 조직이라면 이 방법이 나쁘지 않지만, 하루에도 백~천 단위의 공격을 겪는 대형 조직이라면 자동화를 고려해봐야 한다.
2) 장비와 아키텍처 : 네트워크 상에서 많은 일이 일어나는 조직이라면, 그래서 사건 볼륨 자체가 남다른 조직이라면, 다양한 정보 및 사건 관리 툴을 도입하는 것이 현대 사이버 보안 상황에서는 맞는 판단이다. 예를 들어 SIEM 툴의 경우는 워크플로우와 자동화, 오케스트레이션을 그다지 무겁지 않게 제공한다. 하지만 다양한 상황에 유연하게 대처할 수 있는 능력 자체는 떨어진다. 하지만 꼼꼼히 한답시고 전 과정을 수동으로 처리하는 것보다 훨씬 현명한 선택이다.
3) 자동화 : 1)번과 2)번에 대한 자동화까지 도입했다면, 드디어 오케스트레이션에도 본격적인 자동화 접목을 고민해야 할 때다. 어떤 작업이 자동화 처리로 해결될 수 있는지 잘 선택하는 게 관건인데, 예를 들어 사건 발생 시 관계자들에게 통보하는 일이나 특정 데이터에 추가 맥락 및 상황 정보를 덧입히는 작업, 사건 대응 시 해야 할 일을 여러 부서에 지정하는 일 등은 자동화로 해결이 가능하다. 그러나 사건의 범위나 규모를 파악해 알맞은 부분을 격리시키는 일은 의외로 자동화로 해결하기가 어렵다.
결국 정리하자면 이렇게 요약할 수 있다. “행위(action)는 자동화 가능, 결정(decision)은 자동화 불가능”
글 : 다리오 포르테(Dario Forte), DFLabs
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
